AAA认证技术&NAT技术

> 作者：行癫 ------

第一节：AAA认证技术

一：AAA概述

1.AAA基本概念

AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能

认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络授权（Authorization）：授权用户可以使用哪些服务计费（Accounting）：记录用户使用网络资源的情况网络运营商（ISP）需要验证家庭宽带用户的账号密码之后才允许其上网，并记录用户的上网时长或上网流量等内容，这就是AAA技术最常见的应用场景

2.AAA常见架构

AAA常见网络架构中包括用户、NAS（Network Access Server）、AAA服务器（AAA Server）

NAS基于域来对用户进行管理，每个域都可以配置不同的认证、授权和计费方案，用于对该域下的用户进行认证、授权和计费每个用户都属于某一个域。用户属于哪个域是由用户名中的域名分隔符@后的字符串决定。例如，如果用户名是user1@domain1，则用户属于domain1域。如果用户名后不带有@，则用户属于系统缺省域

3.认证

AAA支持的认证方式有：不认证本地认证远端认证

不认证：完全信任用户，不对用户身份进行合法性检查。鉴于安全考虑，这种认证方式很少被采用本地认证：将本地用户信息（包括用户名、密码和各种属性）配置在NAS上，此时NAS就是AAA Server。本地认证的优点是处理速度快、运营成本低；缺点是存储信息量受设备硬件条件限制。这种认证方式常用于对用户登录设备进行管理，如Telnet，FTP用户等远端认证：将用户信息（包括用户名、密码和各种属性）配置在认证服务器上。支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端，与RADIUS服务器或HWTACACS服务器进行通信

4.授权

AAA支持的授权方式有：不授权本地授权远端授权授权信息包括：所属用户组所属VLAN ACL编号

不授权：不对用户进行授权处理本地授权：根据NAS上对应域下的配置进行授权远端授权：支持由RADIUS服务器授权或HWTACACS服务器授权 HWTACACS授权，使用HWTACACS服务器对所有用户授权 RADIUS授权，只支持对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权注意：当采用远端授权时，用户可以同时从授权服务器和NAS获取授权信息。NAS配置的授权信息优先级比授权服务器下发的授权信息低

5.计费

计费功能用于监控授权用户的网络行为和网络资源的使用情况 AAA支持的计费方式有：不计费、远端计费

不计费：为用户提供免费上网服务，不产生相关活动日志远端计费：支持通过RADIUS服务器或HWTACACS服务器进行远端计费

6.AAA实现协议-RADIUS

AAA可以用多种协议来实现，最常用的是RADIUS协议。RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，可以实现对用户的认证、计费和授权功能通常由NAS作为RADIUS客户端，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息进行相应处理（如接受/拒绝用户接入） RADIUS服务器一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。RADIUS使用UDP（User Datagram Protocol）作为传输协议，并规定UDP端口1812、1813分别作为认证、计费端口，具有良好的实时性；同时也支持重传机制和备用服务器机制，从而具有较好的可靠性 **RADIUS客户端与服务器间的消息流程如下：** 当用户接入网络时，用户发起连接请求，向RADIUS客户端（即NAS）发送用户名和密码 RADIUS客户端向RADIUS服务器发送包含用户名和密码信息的认证请求报文 RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给客户端；对于非法的请求，RADIUS服务器返回认证失败的信息给客户端 RADIUS客户端通知用户认证是否成功 RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求报文 RADIUS服务器返回计费开始响应报文，并开始计费用户开始访问网络资源当用户不再想要访问网络资源时，用户发起下线请求，请求停止访问网络资源 RADIUS客户端向RADIUS服务器提交计费结束请求报文 RADIUS服务器返回计费结束响应报文，并停止计费 RADIUS客户端通知用户访问结束，用户结束访问网络资源

7.AAA应用场景

二：AAA配置实现

![image-20220215100255416](%E7%AC%AC%E4%B8%83%E7%AB%A0%EF%BC%9AAAA%E8%AE%A4%E8%AF%81%E6%8A%80%E6%9C%AF&NAT%E6%8A%80%E6%9C%AF.assets/image-20220215100255416.png) **authorization-scheme** *authorization-scheme-name*命令用来配置域的授权方案。缺省情况下，域下没有绑定授权方案 **authentication-mode** { **hwtacacs** | **local** | **radius** }命令用来配置当前认证方案使用的认证方式。缺省情况下，认证模式为本地认证方式 ![image-20220215100335073](%E7%AC%AC%E4%B8%83%E7%AB%A0%EF%BC%9AAAA%E8%AE%A4%E8%AF%81%E6%8A%80%E6%9C%AF&NAT%E6%8A%80%E6%9C%AF.assets/image-20220215100335073.png) ![image-20220215100343597](%E7%AC%AC%E4%B8%83%E7%AB%A0%EF%BC%9AAAA%E8%AE%A4%E8%AF%81%E6%8A%80%E6%9C%AF&NAT%E6%8A%80%E6%9C%AF.assets/image-20220215100343597.png)

1.AAA配置案例

在设备R1上配置用户密码和级别，使主机A可以通过配置的用户名和密码远程登录到设备

**配置验证** AAA中，每个域都会与相应的认证授权和计费方案相关联，当前为默认域

**display domain** [ **name** *domain-name* ]命令用来查看域的配置信息 **Domain-state**为Active表示激活状态 **如果用户名后不带有@，则用户属于系统缺省域，华为设备支持两种缺省域：** default域为普通用户的缺省域 default_admin域为管理用户的缺省域 **用户正常登录并且下线之后可以看到用户的记录信息**

**display aaa offline-record**命令用来查看系统中用户下线的记录

第二节：网络地址转换

一：NAT概述

1.NAT产生背景

随着互联网用户的增多，IPv4的公有地址资源显得越发匮乏同时IPv4公有地址资源存在地址分配不均的问题，这导致部分地区的IPv4可用公有地址严重不足为解决问题，使用过渡技术解决IPv4公有地址短缺就显得尤为重要

2.私有IP地址

公有地址：由专门机构管理、分配，可以在Internet上直接通信的IP地址私有地址：组织和个人可以任意使用，无法在Internet上直接通信，只能在内网使用的IP地址 A、B、C类地址中各预留了一些专门作为私有IP地址 A类：10.0.0.0~10.255.255.255 B类：172.16.0.0~172.31.255.255 C类：192.168.0.0~192.168.255.255

3.NAT技术原理

NAT：对IP数据报文中的IP地址进行转换，是一种在现网中被广泛部署的技术，一般部署在网络出口设备，例如防火墙或路由器上通过私有地址的使用结合NAT技术，可以有效节约公网IP地址

由于私有地址无法在Internet上路由转发，访问Internet的IP数据包将缺乏路由无法到达私有网络出口设备如果使用了私有地址的私有网络需要访问Internet，必须在网络出口设备配置NAT，将访问Internet的IP数据报文中的私有网络源地址转换成公有网络源地址

二：静态NAT

1.静态NAT技术原理

**静态NAT** 每个私有地址都有一个与之对应并且固定的公有地址，即私有地址和公有地址之间的关系是一对映射 **支持双向互访** 私有地址访问Internet经过出口设备NAT转换时，会被转换成对应的公有地址，同时，外部网络访问内部网络时，其报文携带的公有地址也会被NAT设备转换成对应的私有地址

2.静态NAT转换示例

3.静态NAT配置

![image-20220215115530319](%E7%AC%AC%E4%B8%83%E7%AB%A0%EF%BC%9AAAA%E8%AE%A4%E8%AF%81%E6%8A%80%E6%9C%AF&NAT%E6%8A%80%E6%9C%AF.assets/image-20220215115530319.png) **案例**

三：动态NAT

1.动态NAT技术原理

**动态NAT** 静态NAT严格的一对一进行地址转换，这就导致即便内网主机长时间离线或者不发送数据时，与之前对应的公有地址也处于使用状态，为了避免地址浪费，动态提出了地址池的概念，所有的地址池组成地址池当内部主机访问外部网络时临时分配一个地址池中未使用的IP地址，并将该地址标记为”In Use”，当该主机不在访问外部网络时回收分配的地址，重新标记为“Not Use”

2.动态地址池示例

3.动态地址池配置

![image-20220215121719552](%E7%AC%AC%E4%B8%83%E7%AB%A0%EF%BC%9AAAA%E8%AE%A4%E8%AF%81%E6%8A%80%E6%9C%AF&NAT%E6%8A%80%E6%9C%AF.assets/image-20220215121719552.png)

4.动态地址池配置实验

四：NAPT、Easy-IP

1.NAPT技术原理

动态NAT选择地址池中的地址进行地址转换时不会转换端口号，即No-PAT，非端口地址转换，公有地址与私有地址还是1：1的映射关系，无法提高公有地址的利用率 NAPT（网络地址端口转换）：从地址此中选择地址进行地址转换时不仅转换IP地址，同时也会对端口号进行转换，从而实现公有地址与私有地址1：n映射，可以有效提高公有地址的利用率

NAPT借助端口可以实现一个公有地址同时对应多个私有地址。该模式同时对IP地址和传输层端口进行转换，实现不同私有地址（不同的私有地址，不同的源端口）映射到同一个公有地址（相同的公有地址，不同的源端口）

2.NAPT转换示例

3.NAPT配置实验

4.Easy-IP

实现原理和NAT相同，同时转换IP地址、传输层端口，区别在于Easy-IP没有地址池的概念，使用接口地址作为NAT转换的公有地址适用于不具备固定公网IP地址的场景，如通过DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用获取到的动态地址进行转换

DHCP：Dynamic Host Configuration Protocol ，动态主机配置协议 PPPoE：Point-to-Point Protocol over Ethernet ，以太网承载PPP协议

5.Easy-IP配置

![image-20220215193502013](%E7%AC%AC%E4%B8%83%E7%AB%A0%EF%BC%9AAAA%E8%AE%A4%E8%AF%81%E6%8A%80%E6%9C%AF&NAT%E6%8A%80%E6%9C%AF.assets/image-20220215193502013.png)

五：NAT Server

1.NAT Server应用场景

指定【公有地址：端口】与【私有地址：端口】的一对一映射关系，将内网服务器映射到公网，当私有网络中的服务器需要对公网提供服务时使用外网主机主动访问【公有地址：端口】实现对内网服务器的访问